アカウント名:
パスワード:
複数のパスワード管理ツールにて現状、脆弱性により「パスワードを盗み出す攻撃が可能」脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということはパスワード管理ツールを使わないほうが安全ってこと?
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
変更の効かない生体認証がパスワードに代わることはありえない。現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
こいつド素人だなw
生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない、って昔はよく言われてたことなんだけど今は違うんかな?
マイクロソフトのHololens 2は虹彩認証でログインできるみたいだが。
>生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない
時々利用しているデータセンターでは本人確認はパスポートか運転免許証提示し確認されたらIDカードを渡される。パスワード的なのは毎回入場時に指先静脈認証を登録。でやってますね。
建屋間の移動はゲート毎に本人確認時に渡されるIDカードが必要。建屋内部フロア別にあるサーバールームにはいるときに指先静脈認証が必要。
ご飯食べに一旦外に出ると、登録やり直しでめんどくさい。
漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。とはいっても本人から盗まれたら困っとことになるのは間違いない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
パスワード管理ツール (スコア:0)
複数のパスワード管理ツールにて
現状、脆弱性により「パスワードを盗み出す攻撃が可能」
脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」
ということは
パスワード管理ツールを使わないほうが安全ってこと?
Re: (スコア:0)
元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな
Re:パスワード管理ツール (スコア:0)
今はそうだろうね……
生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。
Re: (スコア:0)
変更の効かない生体認証がパスワードに代わることはありえない。
現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
Re:パスワード管理ツール (スコア:2)
替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。
# ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
# シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。
成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。
Re: (スコア:0)
生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。
こいつド素人だなw
Re: (スコア:0)
生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない、
って昔はよく言われてたことなんだけど今は違うんかな?
マイクロソフトのHololens 2は虹彩認証でログインできるみたいだが。
Re:パスワード管理ツール (スコア:1)
>生体認証はユーザーIDの代替であってパスワードの代替にしてはいけない
時々利用しているデータセンターでは
本人確認はパスポートか運転免許証提示し確認されたらIDカードを渡される。
パスワード的なのは毎回入場時に指先静脈認証を登録。
でやってますね。
建屋間の移動はゲート毎に本人確認時に渡されるIDカードが必要。
建屋内部フロア別にあるサーバールームにはいるときに指先静脈認証が必要。
ご飯食べに一旦外に出ると、登録やり直しでめんどくさい。
Re: (スコア:0)
漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。
とはいっても本人から盗まれたら困っとことになるのは間違いない。